Untersuchungs-Canvas erkunden

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 4 Minuten Lesedauer

    • Das primäre Ziel des Untersuchungs-Canvas besteht darin, die erforderlichen Daten zu Security Incidents an einem zentralen Ort darzustellen.

    Innerhalb von SIR Workspacegeht es bei der Untersuchung von Security Incidents hauptsächlich um einige wenige wichtige Einstiegspunkte.

    Im Folgenden sind einige wichtige Einstiegspunkte aufgeführt, die für Sicherheitsanalysten im Basissystem bereitgestellt werden:
    • Zugehörige erkennbare Elemente
    • Konfigurationselemente
    • Betroffene Anwender
    • Zugeordnete Phishing-E-Mails
    • E-Mail-Suche

    Sie können die oben genannten Einstiegspunkte auch konfigurieren, indem Sie die Einstiegspunkte je nach Bedarf hinzufügen, ändern oder entfernen. Weitere Informationen finden Sie unter Konfigurieren Sie die SI-Entwurfszeituntersuchung.

    Auf der Registerkarte Ermittlung fungiert die Einstiegspunkttabelle als übergeordnete Tabelle. Alle Tabellen, die die Ergebnisse einer für die übergeordnete Tabelle ausgeführten Orchestration-Aktion enthalten, werden als untergeordnete Tabellen innerhalb des Einstiegspunkts dargestellt.

    Für den Einstiegspunkt „ Zugeordneteerkennbare Elemente“ ist beispielsweise die Tabelle „Erkennbare Elemente zuordnen“ die übergeordnete Tabelle, und andere Tabellen wie Ergebnisse der Bedrohungssuche, Ergebnisse der Sandbox-Übermittlung usw. sind die untergeordneten Tabellen.

    Der -Sicherheitsanalyst kann alle Orchestration-Aktionen in der Tabelle „Zugeordnete erkennbare Elemente“ ausführen und alle zugehörigen Informationen auf derselben Seite anzeigen, ohne an mehreren Stellen navigieren zu müssen.

    Hinweis:
    Wenn ein Anwender auf der Seite „ Übersicht “ auf die Interaktionsdiagramme klickt, z. B. auf schädliche erkennbare Elemente, wird er zur gefilterten Ansicht der schädlichen erkennbaren Elemente im Untersuchungs-Canvas navigiert. Alternativ kann der Benutzer die Untersuchung direkt starten, indem er zum Untersuchungs-Canvas navigiert, der alle Daten enthält.

    Die Liste der untergeordneten Tabellen unter einem Einstiegspunkt ist ebenfalls konfigurierbar. Weitere Informationen finden Sie unter Konfigurieren Sie die SI-Entwurfszeituntersuchung.

    Im Folgenden finden Sie ein detailliertes Beispiel für einen Einstiegspunkt (zugeordnetes erkennbares Element), der im Basissystem konfiguriert und bereitgestellt wird:
    1. Wählen Sie den Einstiegspunkt „Zugeordnete erkennbare Elemente“ in der Dropdown-Liste aus.

      Hier ist die übergeordnete Tabelle auch Zugeordnetes erkennbares Element.

      Abbildung : 1. Einstiegspunkt-Listenkonfigurationen
      Eingabepunkte
    2. Wählen Sie ein oder mehrere erkennbare Elemente aus der übergeordneten Tabelle aus.
    3. Führen Sie die gewünschte Fähigkeit aus.

      Wählen Sie beispielsweise Bedrohungssuche ausführen aus, um die Ergebnisse der Bedrohungssuche für ein ausgewähltes erkennbares Element abzurufen.

      Hinweis:
      Wenn eine entsprechende Aktion für ein erkennbares Element ausgeführt wird, wird der Prozess im Back-End ausgeführt, und die Ergebnisse werden unter der Liste „Erkennbare Elemente“ angezeigt.
    4. Klicken Sie auf Zugehörige Informationen anzeigen, um die Ergebnisse der erkennbaren Elemente anzuzeigen. Die Ergebnisse werden auf derselben Seite angezeigt.
      Hinweis:
      Sie können die Ergebnisse mithilfe von Filtern nach Ergebnissen anzeigen. Wählen Sie entweder Alle Ergebnisse oder Neueste Ergebnisse, je nachdem, welche Ansicht gewünscht ist. Standardmäßig werden die neuesten Ergebnisse angezeigt. Wenn mehrere Implementierungen (von Integrationen) vorhanden sind, werden die neuesten Ergebnisse pro Implementierung angezeigt.

      Darüber hinaus können Sie die Ergebnisse nach zugehörigen zugehörigen Listen filtern, bei denen es sich um die Ergebnisse der untergeordneten Tabelle handelt. Standardmäßig werden alle konfigurierten zugehörigen Listen für untergeordnete Tabellen angezeigt. Weitere Informationen finden Sie unter Konfigurieren Sie die SI-Entwurfszeituntersuchung. Sie können jedoch nur die untergeordneten Tabellen auswählen, die erforderlich sind.

      Zeigen Sie die zugehörigen Informationen an.

    5. Wenn Sie auf „Zugeordnete Informationen anzeigen“ klicken, können Sie alle zugehörigen untergeordneten Tabellendaten an einem Ort anzeigen. Sie können jedoch die Ansicht der zugehörigen Listen schließen, indem Sie auf die Schaltfläche „ Ansicht schließen“ klicken. Sobald Sie die Ansicht geschlossen haben, können Sie wie zuvor nur die übergeordnete Tabelle der erkennbaren Elemente anzeigen.
    6. Klicken Sie auf das Symbol Alle Aufwärtsrichtung erweitern in der Tabelle Ergebnisse der verfügbaren zugeordneten Informationen anzeigen, um alle untergeordneten Tabellendaten der zugehörigen Listen zu erweitern.

      Erweitern Sie die Optionsansicht „Alle“.

    7. Klicken Sie auf das Symbol Alle Abwärtsrichtung reduzieren, um alle Tabellendaten der untergeordneten zugehörigen Listen zu reduzieren.
      Hinweis:
      Das Banner über dem zugehörigen Infoabschnitt, der alle Daten der untergeordneten Tabelle enthält, zeigt an, wie viele Informationen zu erkennbaren Elementen dem Anwender angezeigt werden. Wenn Sie beispielsweise zunächst zwei erkennbare Elemente auswählen und auf Zugehörige Informationen anzeigen klicken, wird im Banner Folgendes angezeigt: Verfügbare zugeordnete Informationen für 2 zugeordnete erkennbare Elemente werden angezeigt.. Wenn Sie beispielsweise ein anderes erkennbares Element auswählen, wird im Banner angezeigt, dass die Informationen veraltet sind (Screenshot unten). Sie müssen erneut auf „Zugeordnete Informationen anzeigen“ klicken, um die aktuellen Daten zu erhalten.

      Ergebnisse der zugeordneten erkennbaren Elemente veraltet

      Wenn Sie zusätzlich zur obigen umfassenden Ansicht der zugehörigen Informationen zu erkennbaren Elementen weitere Informationen zu einem Datensatz in der übergeordneten Tabelle anzeigen möchten, klicken Sie auf das erkennbare Element. Das Datensatzformular der übergeordneten Tabelle wird auf einer anderen Registerkarte mit einer detaillierteren Ansicht von geöffnet ausgewählter Datensatz. Alle zugeordneten untergeordneten Tabellendaten dieses ausgewählten Datensatzes werden auch im Abschnitt „Zugeordnete Informationen“ angezeigt.

      Im zugehörigen Infoabschnitt werden jedoch nur die neuesten Ergebnisse der untergeordneten Tabelle angezeigt, wie im Untersuchungs-Canvas im schreibgeschützten Modus zu sehen ist. In dieser Ansicht sind keine Aktionen möglich. Die Formularseite der untergeordneten Tabelle kann in einer neuen Registerkarte geöffnet werden, die die voll funktionsfähige Seite mit beliebigen Aktionen (falls vorhanden) bereitstellt.

      Über die Dropdown-Liste können Sie zwischen den verschiedenen Tabellen wechseln. Sie können auch jedes Formular unter dem zugehörigen Infoabschnitt erweitern oder reduzieren.

      Auf der Formularseite für erkennbare Elemente (übergeordnete Tabellendatensatz-Formularseite) können Sie je nach Verfügbarkeit bestimmte Aktionen ausführen. Wenn Sie eine Aktion ausführen, können Sie im zugehörigen Infobanner auf „Aktualisieren“ klicken, um die Daten zu aktualisieren.

    8. Klicken Sie auf Alle erweitern, um alle untergeordneten Tabellen für zugehörige Listen zu erweitern. Standardmäßig werden alle untergeordneten Elemente erweitert.
      Abbildung : 2. Erweiterte Ansicht der erkennbaren Elemente
      Erweiterte Ansicht des Einstiegspunkts